De FG Enquête 2022 laat zien dat FG’s goed op weg zijn met gegevensbescherming, maar er is ook werk aan de winkel. Hoe krijgt de functie van Functionaris Gegevensbescherming (FG) vorm in de praktijk? En hoe ervaren FG’s in de publieke sector hun werk en werkomgeving?
Na de eerste FG Enquête in 2018, vlak na de intrede van de AVG, komt Centrum Informatiebeveiliging en Privacybescherming (CIP) 4 jaar later met een bijna identieke vragenlijst voor FG’s. Dit om de verschillen met 2018 zo goed mogelijk in beeld te brengen. Walter van Wijk, community manager bij CIP, was betrokken bij de totstandkoming en licht de uitkomsten toe.
Waarom is deze enquête en het herhalen ervan belangrijk?
“Omdat het voor alle professionals die betrokken zijn bij privacy en de AVG waardevol is om te weten hoe de invulling van de functie van FG zich heeft ontwikkeld. Voor de FG zelf: hoe ontwikkelt mijn rol zich, en die van mijn collega’s? Maar ook voor bestuurders en de Autoriteit Persoonsgegevens (AP). Daarnaast kunnen koepels zoals de VNG en het Waterschapshuis hier lering uit trekken en hun doelen op aanscherpen. 4 jaar geleden hebben we de eerste grote FG Enquête ook aan de AP gepresenteerd en dit is het vervolg. Tussendoor is er eigenlijk geen vergelijkbare, grootschalige enquête geweest.”
Wat is er in de tussentijd veranderd voor de FG?
“De FG’s zijn meer zelfstandig in hun rol als toezichthouder. Dat wijst erop dat de functie meer is ingebed in de lijnorganisatie, ze krijgen meer erkenning. Maar FG’s werken ook meer planmatig en zijn in verhouding meer bezig met toezicht dan met advisering dan 4 jaar geleden.”
“Verder zie je dat werkgevers meer hebben geïnvesteerd in FG-uren en vaste contracten. En er is aandacht geweest voor bewustwording en verantwoord gedrag op de werkvloer. Privacy lijkt beter ingebed te zijn in de operationele werkzaamheden.”
Van Wijk vervolgt: “Na de vorige enquête stelden we de behoefte vast aan meer contact tussen FG’s onderling. CIP is toen gestart met een FG-community: het FG Café. En op 15 september aanstaande organiseren we het webinar FG Intervisie. Maar we zijn ook nadrukkelijker met de AP en CIO Rijk in gesprek gegaan om meer kennissessies te organiseren. Bovendien zijn er verschillende partijen in gesprek, waaronder CIP, om een onafhankelijk openbaar FG-register op te zetten. Met zo’n register zou je de behoefte aan verdere borging van kennis en vaardigheden op FG-gebied kunnen aanjagen en bewaken.”
Wat kan nog beter, blijkt uit deze enquête?
“Wat opvalt, is dat het percentage FG’s dat ontevreden is met de staat van het eigen verwerkingsregister is toegenomen van 34% naar 41%. Dat instrument mag nog wel beter op orde komen. Zelfs de registratie van kritische verwerkingen is lang niet bij alle organisaties goed op orde.”
Maar daarbij zie je wel een discrepantie.
“Ja, de grootste discrepantie is toch dat er meer wordt geïnvesteerd, maar dat het niet veel beter gaat met die verwerkingsregisters. En dat FG’s, ondanks de toegenomen bestede tijd voor de functie, toch minder tevreden zijn met de beschikbare hoeveelheid tijd ervoor.”
Hoe komt dat denk je?
“Bijvoorbeeld door de enorme hoeveelheid technologische ontwikkelingen in 4 jaar tijd. Organisaties zijn veel meer bezig met het verwerken van persoonsgegevens. Het aantal ‘500.000+ persoonsgegevensverwerkers’ is enorm toegenomen.”
“Wat je ook ziet is dat FG’s zich in hun werk meer op bestuurders richten.”
Hoe vertaalt zich dat?
“Je ziet dat bestuurders toegankelijker en bereikbaarder zijn. Er is de afgelopen 4 jaar aardig wat geïnvesteerd in awareness op de werkvloer en bij bestuurders. Maar misschien is het iets teveel gezien als project, niet als duurzaam iets.”
Van Wijk legt uit waarom duurzaam beleid belangrijk is: “De afhankelijkheid van digitale verwerking en informatievoorziening neemt alleen maar enorm toe, net als cybercriminaliteit. Daarin is voor zowel de werkvloer als bestuurders ruimte om gegevensverwerking nog serieuzer en ook duurzamer serieus te nemen.”
Wat kan CIP daarbij betekenen, voor zowel FG’s als bestuurders?
“We proberen FG’s te ondersteunen met door het netwerk ontwikkelde instrumenten, zoals podcastseries, webinars, de Privacy Baseline en het Privacy Self Assessment. En hopelijk inspireert deze enquête mensen tot meer aandacht hiervoor binnen de organisaties. En dat begint bij de bestuurders. Privacy is geen project, maar heeft behoefte aan duurzame aandacht en financiering, als goed voorbeeld naar de werkvloer toe.”
“Vanuit CIP voeren we gesprekken met bestuurders over criteria die je kan hanteren bij gesprekken met je FG en CISO. Verder bieden we de dienst ‘IB&P-hulp’ aan. Een online plek waar experts een aantal vaste momenten per week beschikbaar zijn, en waar je gratis kan ‘inlopen’ voor een adviesgesprek of klankbordsessie, ook toegankelijk voor bestuurders.”
Hoe kan de FG zelf een rol spelen bij die duurzame aandacht?
“FG’s zijn de vaste bewaker van duurzame aandacht voor gegevensbescherming. Zij kunnen aanjagen, controleren, ze moeten toezicht houden en adviseren, dat is de rol die ze hebben. Op een manier die gewaardeerd wordt en die niet tot onnodige irritatie leidt. Praktisch, inhoudelijk én relationeel. Je moet weten hoe je met bestuurders omgaat, maar ook met de werkvloer.”
“Daarbij kan de communicatie met ‘reisgenoten’ veel waarde hebben. Er zijn na de vorige enquête allerlei soorten FG-netwerken ontstaan. Niet alleen het FG Café, maar ook binnen de VNG. Zelf hebben we binnen onze privacy-domeingroep FG-vertegenwoordigers van de waterschappen en provincies, er zijn regionale samenwerkingsgroepen en het Rijk heeft onderlinge samenwerking georganiseerd. Dat is denk ik een hele goeie zaak.”
Welke algemene lessen kunnen we uit de laatste enquête trekken?
“FG’s mogen zich realiseren: ik ben niet de enige. Er zijn anderen in mijn rol met dezelfde kwetsbaarheden en uitdagingen. Praat met collega-FG’s, doe daar je voordeel mee. En er is inmiddels voldoende aanbod van instrumenten.”
“En voor de AP is het belangrijk om, ondanks financiële en personele uitdagingen, te proberen nog beter toegankelijk te zijn voor FG’s.”
En wat zijn nu vervolgvragen voor de komende 4 jaar?
“Hoe krijgen we verwerkingsregisters beter op orde? Hoe betrekken we bestuurders duurzaam bij privacybewustzijn? En hoe houden we, naast alle huidige taken, nieuwe ontwikkelingen in de gaten? We krijgen te maken met AI, algoritmes, wetenschappelijke onderzoeksgegevens en de snel groeiende dimensie van internationale verwerking van gegevens buiten de GDPR-grenzen. En voor organisaties met bijzondere opsporingsambtenaren (boa’s) ook nog de Wet politiegegevens. Dat komt er allemaal nog bij.”
“Vergeleken bij andere organisaties voor support aan FG’s, is CIP gestegen in bekendheid en waardering, blijkt ook uit de enquête. Dat willen we blijven uitbouwen. Met kennissessies en het beschikbaar stellen van betere en nieuwe instrumenten. Daarbij werken we graag samen met andere koepels.”
Bekijk de FG Enquête en het webinar voor FG’s op 15 september
Lees en bekijk de FG Enquête, of ga naar de site van CIP. Daar vind je ook informatie over de IB&P-hulp, allerlei andere privacy-producten en diverse podcasts en webinars. Aanmelden voor het webinar FG Intervisie kan door een mailtje te sturen naar cip@cip-overheid.nl.